数据库SQL文使用命令参数代替拼接SQL语句

做数据库的常识,不要拼接SQL语句,应使用命令参数更安全,不需要转义。

import sqlite

//打开数据库连接
var sqlConnection = sqlite("/testParameters.db")

//创建表
if( not sqlConnection.existsTable("film") ){  
    sqlConnection.exec( "create table film(title, length, year, starring);")  
}  

//可以用@表示命名参数
var command = sqlConnection.prepare("insert into film values (@title,@length,@year, 'Jodie Foster');" )

//绑定命名参数
command.bind.parameterByNamesAt(
    title = "I'm Jack"; //字符串不需要转义
    length = 4;
    year = time.now();
).step();

//释放命令对象
command.finalize()

io.open();
for title, length, year, starring in sqlConnection.each("select * from film") {
    io.print( title, length, year, starring  )
} 
使用参数是最通用,也不会出错的.拼接的sql不但容易错,还会让程序带来
sql注入的风险,这在网页应用中最明显。

摘自:sqlite语句有特殊字符,怎么处理?

百度百科:参数化查询


©️2020 CSDN 皮肤主题: 大白 设计师: CSDN官方博客 返回首页
实付0元
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值